배경: Vandalay Industries는 수입 및 수출 분야의 세계적인 리더로서 온라인 비즈니스를 방해하려는 많은 적들의 표적이 되어 왔습니다. 최근 Vandaly는 웹 서버에 대한 DDOS 공격을 경험하고 있습니다.
DDOS 공격으로 인해 웹 서버가 오프라인 상태가 되었을 뿐만 아니라 중단 이후 업로드 및 다운로드 속도에도 큰 영향을 미쳤습니다. 귀하의 네트워킹 팀은 최신 DDOS 공격 당시의 네트워크 속도 결과를 제공했습니다.
속도 테스트 파일
Splunk에 업로드된 'server_speedtest.csv' 파일의 스크린샷:
eval 명령을 사용하여 업로드 속도와 다운로드 속도 간의 비율을 표시하는 ratio라는 필드를 만듭니다. 힌트: 비율을 만드는 형식은 다음과 같습니다. | eval new_field_name = 'fieldA' / 'fieldB'
업로드 속도와 다운로드 속도 간의 비율을 생성하기 위해 Splunk에서 사용되는 쿼리 - source="server_speedtest.csv" | eval ratio = DOWNLOAD_MEGABITS/UPLOAD_MEGABITS
이 쿼리를 통해 다운로드와 업로드 비율을 확인할 수 있습니다.
_timeIP_ADDRESSDOWNLOAD_MEGABITSUPLOAD_MEGABITSratio힌트: table 명령의 경우 다음 형식을 사용하십시오. | 테이블 필드A 필드B 필드C
업로드 속도와 다운로드 속도 간의 비율을 생성하기 위해 Splunk에서 사용되는 쿼리 - source="server_speedtest.csv" | eval ratio = DOWNLOAD_MEGABITS/UPLOAD_MEGABITS | table _time, IP_ADDRESS, DOWNLOAD_MEGABITS, UPLOAD_MEGABITS, ratio
위 스크린샷에서 다운로드 및 업로드가 발생한 전체 이벤트 타임라인을 확인할 수 있습니다.
위 스크린샷에서 다운로드 및 업로드가 발생한 시간과 이 작업을 수행한 소스 IP 주소를 확인할 수 있습니다.
위 스크린샷에서 이러한 다운로드 및 업로드 이벤트가 열 그래프 형식으로 시각적으로 표현된 것을 볼 수 있습니다. 시간이 하단에 표시되므로 데이터를 훨씬 더 쉽게 읽을 수 있습니다.
위 쿼리 결과를 바탕으로 2월 23일 오후 2시 30분쯤에 다운로드 및 업로드 속도가 급격하게 떨어진 것을 확인할 수 있습니다. 아래 스크린샷에서 이를 확인할 수 있습니다.
오후 2시 30분에 다운로드 수가 7.87로 떨어졌음을 확인할 수 있습니다. 이는 이전 이벤트인 109.16메가비트에 비해 크게 감소한 수치입니다. 그렇다면 이 시점이 공격이 시작된 시점이라고 가정하는 것이 타당합니다.
위 스크린샷에서 다운로드 메가비트가 17.56에서 65.34로 증가한 것을 볼 수 있는데, 이는 급격한 증가입니다. 따라서 이는 시스템이 복구를 시작하고 정상적인 네트워크 트래픽 흐름으로 돌아오기 시작한 시점이라고 가정하는 것이 안전합니다.
위 스크린샷을 보면 2월 23일 오후 11시 30분쯤에 다운로드 메가비트가 78시 34분에서 123.91로 뛴 것을 볼 수 있습니다. 이때는 네트워크 트래픽 흐름이 안정되어 정상으로 돌아온 시점이라고 봐도 무방합니다.
신고서의 스크린샷과 위 질문에 대한 답변을 제출하세요.
배경: 공격 빈도로 인해 관리자는 서버에 있는 민감한 고객 데이터가 취약하지 않은지 확인해야 합니다. Vandalay는 Nessus 취약점 스캐너를 사용하므로 지난 24시간 동안의 스캔을 가져와 심각한 취약점이 있는지 확인했습니다.
Nessus에 대한 자세한 내용은 다음 링크를 참조하세요: https://www.tenable.com/products/nessus
네소스 스캔 결과
Splunk에 업로드된 nessus 스캔 결과 스크린샷:
10.11.36.23 입니다. 쿼리에 dest_ip="10.11.36.23" 사용하세요.
아래와 같이 이러한 로그가 찾는 심각도 수준에는 5가지 유형이 있다는 점은 주목할 가치가 있습니다.
심각도 수준이 '중요' 값인 모든 취약점을 필터링하려고 합니다. 쿼리에 severity="crtiical" 사용할 수 있습니다.
전체 쿼리는 source="nessus_logs.csv" dest_ip="10.11.36.23" severity="critical" 입니다.
이 로그 파일에서 고객 데이터베이스 서버의 심각한 취약점 수를 표시하는 전체 쿼리는 아래 스크린샷을 참조하세요.
대상 IP가 10.11.36.23(데이터베이스 서버)인 경우 총 49개의 치명적인 취약점이 발견되었습니다.
[email protected] 으로 이메일을 보내 경고를 받으십시오.위 쿼리에서 결과를 생성한 후 '다른 이름으로 저장'을 클릭한 다음 '알림'을 클릭하여 알림을 만듭니다.
Nessus가 데이터베이스 서버에서 취약점을 감지할 때마다 경고를 생성하려면 세부 정보를 입력하세요. 이름, 설명 및 기타 관련 정보를 입력하세요.
생성된 경고를 [email protected] 으로 보내려면 이메일 세부 정보를 입력하고 이메일과 함께 보낼 메시지 세부 정보를 입력하세요.
계속해서 경고 세부정보를 입력한 후 '저장'을 클릭하세요.
저장한 후에는 경고를 확인하고 원하는 경우 편집할 수 있습니다.
신고서의 스크린샷과 경고가 생성되었음을 증명하는 스크린샷을 제출하세요.
배경: Vandalay 서버도 관리자 계정에 대한 무차별 대입 공격을 경험하고 있습니다. 경영진은 무차별 대입 공격이 다시 발생할 경우 SOC 팀에 알리기 위해 모니터링을 설정하기를 원합니다.
관리자 로그인
Splunk에 업로드된 'Administrator_logs.csv' 파일의 스크린샷:
힌트:
실패한 로그인을 찾으려면 이름 필드를 찾으세요.
공격은 몇 시간 동안 지속되었습니다.
무차별 대입 공격의 지표를 찾고 싶기 때문에 계정이 로그온하지 못한 로그를 드릴다운하려고 합니다. 'name' 필드로 이동하면 로그에 포함된 값을 볼 수 있습니다. 이 경우 1004 "계정이 로그온하지 못했습니다"라는 숫자를 볼 수 있습니다. 이는 무차별 대입 공격이 발생했음을 나타내는 좋은 지표입니다. 스크린샷 보기:
이제 이것을 검색에 추가하면 이 일이 발생한 당시의 전체 이벤트를 볼 수 있습니다. 그러면 이러한 이벤트의 대부분이 언제 발생했는지 확인할 수 있으며, 이는 이러한 이벤트가 언제 발생했는지에 대한 좋은 지표입니다. 스크린샷 보기:
보시다시피, 2월 21일 오전 9시경에 "계정 로그온 실패" 이벤트가 상당히 많이 급증했습니다. 발생한 총 1004개의 이벤트를 볼 수 있습니다. 오전 9시에 이러한 이벤트 중 124개가 발생했으며 그 후 몇 시간 동안 비슷한 숫자가 나타났습니다. 따라서 공격은 2020년 2월 21일 오전 9시쯤에 시작된 것으로 추정됩니다.
이러한 이벤트의 타임라인을 보면 124가 상당히 급증했다는 것을 알 수 있습니다. 이 이벤트가 발생하기 전 몇 시간 동안 가장 많은 잘못된 로그인 수는 약 23건이었습니다. 이는 정상적인 동작이라고 간주할 수 있습니다. 스크린샷 보기:
이를 염두에 두고 무차별 대입 공격이 발생했을 때 약 124-135회의 로그온 시도가 있었다는 점을 고려하면 시간당 약 40회의 잘못된 로그온을 기본으로 간주합니다. 시간당 잘못된 로그온 범위는 다음과 같습니다.
[email protected] 으로 SOC 팀에 이메일을 보냅니다.이러한 유형의 이벤트에 대한 알림을 생성하기 위해 다음 단계를 수행했습니다.
'다른 이름으로 저장'을 클릭한 다음 '알림'을 클릭하세요.
트리거할 시기(시간당 25회 이상 시도)를 포함하여 경고에 대한 세부 정보를 입력합니다.
작업 세부정보를 입력합니다. 이 경우 [email protected] 으로 이메일을 보내드립니다.
경고를 저장하면 볼 수 있습니다.
이제 계정 로그인 실패 이벤트가 25개 이상 있을 때 트리거되는 알림을 성공적으로 생성했습니다.
무차별 대입 타이밍, 기준선 및 임계값에 대한 질문에 대한 답변을 제출하세요. 또한 경고가 생성되었다는 증거로 스크린샷을 제공하세요.
